Kaspersky Symphony XDR: Open Single Management Platform

Взаимодействие с НКЦКИ

Open Single Management Platform позволяет вам взаимодействовать с Национальным координационным центром по компьютерным инцидентам (далее НКЦКИ). Субъект ГосСОПКА, который использует Open Single Management Platform, может передавать данные о компьютерных инцидентах, обнаруженных компьютерных атаках и уязвимостях, используя экспорт инцидентов в НКЦКИ. Благодаря обмену информацией об инцидентах, реагирование на компьютерные инциденты, которые происходят на субъектах критической информационной инфраструктуры Российской Федерации, может стать более оперативным.

В Open Single Management Platform в рамках взаимодействия с НКЦКИ можно выполнять следующие действия:

Условия взаимодействия с НКЦКИ

Для взаимодействия с НКЦКИ должны выполняться следующие условия:

  • Лицензия приложения включает модуль ГосСОПКА.
  • Настроена интеграция с НКЦКИ.
  • Пользователю, который работает с инцидентами НКЦКИ должна быть присвоена одна из следующих предопределенных ролей:
    • Главный администратор.
    • Администратор тенанта.
    • Работа с НКЦКИ.

Этапы взаимодействия с НКЦКИ

В Open Single Management Platform процесс подготовки и обработки инцидентов НКЦКИ состоит из следующих этапов:

  1. Создание инцидента и проверка его на соответствие требованиям НКЦКИ

    Вы можете создать инцидент НКЦКИ на основе инцидента XDR. Перед отправкой данных в НКЦКИ убедитесь, что категория инцидента соответствует требованиям НКЦКИ.

  2. Экспорт инцидента в НКЦКИ

    При успешном экспорте инцидента в НКЦКИ, статус инцидента принимает значение Отправлен в НКЦКИ.

    В НКЦКИ полученному инциденту присваивается регистрационный номер и статус. Эти сведения отображаются в окне инцидента в разделе Интеграция с НКЦКИ.

    Статус инцидента и некоторые параметры инцидента могут обновляться на стороне НКЦКИ. Если сотрудники НКЦКИ внесли изменения, значения параметров инцидента НКЦКИ обновляются. Данные между Open Single Management Platform и НКЦКИ синхронизируются каждые 5–10 минут. Если в НКЦКИ предоставлены все необходимые данные, инциденту присваивается статус Проверка НКЦКИ.

  3. Завершение обработки инцидента

    Когда сотрудники НКЦКИ обработают инцидент, в НКЦКИ ему будет присвоен статус Принято решение. В Open Single Management Platform этот статус отображается в заголовке окна со сведениями об инциденте НКЦКИ.

    При получении статуса Отправлен в архив взаимодействие с НКЦКИ по инциденту через Open Single Management Platform становится невозможным. При этом закрытые инциденты можно найти в таблице инцидентов НКЦКИ и просмотреть сведения о них.

В начало
[Topic 254361]

Настройка интеграции с НКЦКИ

Вы можете создать подключение к НКЦКИ. Это позволит вам экспортировать в него инциденты, зарегистрированные в Open Single Management Platform.

Чтобы настроить интеграцию с НКЦКИ:

  1. В главном меню перейдите в раздел ПараметрыТенанты.

    Откроется список тенантов. Список содержит только те тенанты, к которым у вас есть доступ на чтение.

  2. Нажмите на имя требуемого тенанта.

    Откроется окно свойств тенанта. Если у вас есть только право доступа на чтение к этому тенанту, свойства будут доступны только для чтения. Если у вас есть право доступа на запись, вы можете настроить свойства тенанта.

  3. В окне свойств тенанта выберите вкладку Параметры и в разделе Сторонние интеграции выберите НКЦКИ.
  4. Включите опцию Интеграция с НКЦКИ.
  5. В поле URL введите URL, по которому доступен НКЦКИ. Например: https://example.cert.gov.ru/api/v2/.
  6. В поле API-токен нажмите на кнопку Добавить токен и задайте API-токен вручную.
  7. В поле Организация укажите название вашей компании. Эти данные будут передаваться в НКЦКИ при экспорте инцидентов.
  8. В раскрывающемся списке Функция затронутой системы выберите сферу, в которой работает ваша организация. Эти данные будут передаваться в НКЦКИ при экспорте инцидентов.

    Доступные сферы деятельности компании

    • Атомная энергетика.
    • Банковская сфера и иные сферы финансового рынка.
    • Горнодобывающая промышленность.
    • Государственная/муниципальная власть.
    • Здравоохранение.
    • Металлургическая промышленность.
    • Наука.
    • Оборонная промышленность.
    • Образование.
    • Ракетно-космическая промышленность.
    • Связь.
    • СМИ.
    • Топливно-энергетический комплекс.
    • Транспорт.
    • Химическая промышленность.
    • Иная.
  9. В раскрывающемся списке Расположение выберите геокод, соответствующий субъекту Российской Федерации, в котором располагается ваша компания. Эти данные будут передаваться в НКЦКИ при экспорте инцидентов.

    Список геокодов Российской Федерации

    Список геокодов Российской Федерации

    Субъект РФ

    Геокод

    Адыгея

    RU-AD

    Алтайский край

    RU-ALT

    Амурская область

    RU-AMU

    Архангельская область

    RU-ARK

    Астраханская область

    RU-AST

    Башкортостан

    RU-BA

    Белгородская область

    RU-BEL

    Брянская область

    RU-BRY

    Бурятия

    RU-BU

    Владимирская область

    RU-VLA

    Волгоградская область

    RU-VGG

    Вологодская область

    RU-VLG

    Воронежская область

    RU-VOR

    Дагестан

    RU-DA

    Еврейская автономная область

    RU-YEV

    Забайкальский край

    RU-ZAB

    Ивановская область

    RU-IVA

    Ингушетия

    RU-IN

    Иркутская область

    RU-IRK

    Кабардино-Балкария

    RU-KB

    Калининградская область

    RU-KGD

    Калмыкия

    RU-KL

    Калужская область

    RU-KLU

    Камчатский край

    RU-KAM

    Карачаево-Черкессия

    RU-KC

    Карелия

    RU-KR

    Кемеровская область

    RU-KEM

    Кировская область

    RU-KIR

    Костромская область

    RU-KOS

    Краснодарский край

    RU-KDA

    Красноярский край

    RU-KYA

    Курганская область

    RU-KGN

    Курская область

    RU-KRS

    Ленинградская область

    RU-LEN

    Липецкая область

    RU-LIP

    Магаданская область

    RU-MAG

    Марий Эл

    RU-ME

    Мордовия

    RU-MO

    Москва

    RU-MOW

    Московская область

    RU-MOS

    Мурманская область

    RU-MUR

    Ненецкий автономный округ

    RU-NEN

    Нижегородская область

    RU-NIZ

    Новгородская область

    RU-NGR

    Новосибирская область

    RU-NVS

    Омская область

    RU-OMS

    Оренбургская область

    RU-ORE

    Орловская область

    RU-ORL

    Пензенская область

    RU-PNZ

    Пермский край

    RU-PER

    Приморский край

    RU-PRI

    Псковская область

    RU-PSK

    Республика Алтай

    RU-AL

    Республика Коми

    RU-KO

    Республика Саха

    RU-SA

    Ростовская область

    RU-ROS

    Рязанская область

    RU-RYA

    Самарская область

    RU-SAM

    Санкт-Петербург

    RU-SPE

    Саратовская область

    RU-SAR

    Сахалинская область

    RU-SAK

    Свердловская область

    RU-SVE

    Северная Осетия

    RU-SE

    Смоленская область

    RU-SMO

    Ставропольский край

    RU-STA

    Тамбовская область

    RU-TAM

    Татарстан

    RU-TA

    Тверская область

    RU-TVE

    Томская область

    RU-TOM

    Тульская область

    RU-TUL

    Тыва

    RU-TY

    Тюменская область

    RU-TYU

    Удмуртия

    RU-UD

    Ульяновская область

    RU-ULY

    Хабаровский край

    RU-KHA

    Хакасия

    RU-KK

    Ханты-Мансийский автономный округ – Югра

    RU-KHM

    Челябинская область

    RU-CHE

    Чечня

    RU-CE

    Чувашия

    RU-CU

    Чукотский автономный округ

    RU-CHU

    Ямало-Ненецкий автономный округ

    RU-YAN

    Ярославская область

    RU-YAR

  10. Включите параметр Использовать прокси-сервер, чтобы подключаться к НКЦКИ через прокси-сервер.

    Нажмите на ссылку Параметры, чтобы задать настройки прокси-сервера. Откроется окно свойств Сервера администрирования, в котором вы можете выполнить настройку.

  11. Вы можете указать следующие параметры об операторе персональных данных в соответствующих полях:
    • Наименование
    • ИНН
    • Адрес
    • Адрес электронной почты

    Вы также можете убедиться, что соединение с НКЦКИ установлено, нажав на кнопку Проверить подключение. Статус проверки отобразится в поле Статус подключения.

  12. Нажмите на кнопку Сохранить для завершения настройки интеграции.

Open Single Management Platform интегрирован с НКЦКИ. Теперь вы можете экспортировать в него инциденты.

Чтобы выключить интеграцию с НКЦКИ:

  1. В главном меню перейдите в раздел ПараметрыТенанты.

    Откроется список тенантов. Список содержит только те тенанты, к которым у вас есть доступ на чтение.

  2. Нажмите на имя требуемого тенанта.

    Откроется окно свойств тенанта. Если у вас есть только право доступа на чтение к этому тенанту, свойства будут доступны только для чтения. Если у вас есть право доступа на запись, вы можете настроить свойства тенанта.

  3. В окне свойств тенанта выберите вкладку Параметры и в разделе Сторонние интеграции выберите НКЦКИ.
  4. Выключите параметр Интеграция с НКЦКИ.
  5. Нажмите на кнопку Сохранить.

Интеграция Open Single Management Platform с НКЦКИ выключена.

В начало
[Topic 252732]

Просмотр таблицы инцидентов НКЦКИ

Таблица инцидентов НКЦКИ содержит информацию обо всех созданных инцидентах НКЦКИ.

Чтобы просмотреть таблицу инцидентов НКЦКИ:

  1. В главном меню перейдите в раздел Мониторинг и отчетыИнциденты.
  2. При необходимости отфильтруйте тенанты. По умолчанию фильтр тенантов выключен и в таблице инцидентов отображаются инциденты, относящиеся ко всем тенантам, к которым у вас есть права доступа. Чтобы применить фильтр для тенантов:
    1. Перейдите по ссылке рядом с параметром Фильтр тенантов.

      Откроется список тенантов.

    2. Установите флажки рядом с требуемыми тенантами.

      В таблице инцидентов отображаются только инциденты, обнаруженные на активах, принадлежащих выбранным тенантам.

  3. Выберите вкладку Инциденты НКЦКИ.

    Откроется таблица с инцидентами НКЦКИ. Таблица содержит следующие столбцы:

    • Короткий идентификатор – уникальный идентификатор инцидента НКЦКИ.
    • Тенант – имя тенанта, в котором был обнаружен инцидент.
    • Обнаружен – дата и время обнаружения инцидента.
    • Завершен – дата и время закрытия инцидента.
    • Статус – текущий статус инцидента НКЦКИ, экспортированного в НКЦКИ.
    • Категориякатегория инцидента НКЦКИ.
    • Типтип инцидента НКЦКИ.

  4. Вы можете группировать и фильтровать данные таблицы с инцидентами НКЦКИ. Для этого нажмите на значок параметров (Значок параметра.) или на значок фильтрации (Значок фильтра.) в правом верхнем углу таблицы и настройте параметры отображения инцидентов.

    По умолчанию таблица инцидентов НКЦКИ отфильтрована по столбцу Статус: инциденты со статусом Отправлен в архив и Принято решение не отображаются.

В начало
[Topic 254360]

Просмотр сведений об инциденте НКЦКИ

Развернуть все | Свернуть все

В окне со сведениями об инциденте НКЦКИ вы можете просматривать всю информацию, относящуюся к инциденту, включая его свойства.

Чтобы просмотреть сведения об инциденте НКЦКИ:

  1. В главном меню перейдите в раздел Мониторинг и отчетыИнциденты.
  2. Выберите вкладку Инциденты НКЦКИ.
  3. В открывшейся таблице нажмите на идентификатор инцидента.

Откроется окно со сведениями об инциденте НКЦКИ.

В заголовке окна указан краткий уникальный идентификатор инцидента и статус, присвоенный инциденту в НКЦКИ. Если инцидент еще не был экспортирован в НКЦКИ, он имеет статус Черновик. Некоторые параметры инцидента НКЦКИ доступны для редактирования, остальные параметры наследуются от инцидента XDR и не редактируются.

При необходимости вы можете обновить информацию в окне со сведениями об инциденте, нажав на значок Значок обновления. рядом с заголовком окна.

С помощью панели инструментов в верхней части окна вы можете выполнять следующие действия:

  • редактировать инцидент НКЦКИ;
  • удалять инцидент НКЦКИ;
  • экспортировать инцидент НКЦКИ.

Окно сведений об инциденте НКЦКИ содержит разделы, описанные ниже.

Сводная информация

В этом разделе вы можете просматривать и при необходимости редактировать следующую общую информацию об инциденте НКЦКИ:

  • Короткий идентификатор – уникальный идентификатор инцидента НКЦКИ.
  • Тенант – имя тенанта, в котором был обнаружен инцидент.
  • Обнаружено – дата и время обнаружения инцидента.
  • Завершено – дата и время закрытия инцидента. Этот параметр доступен для редактирования.
  • Описание – краткое описание инцидента. Этот параметр доступен для редактирования.
  • Категориякатегория инцидента НКЦКИ. Этот параметр доступен для редактирования.
  • Типтип инцидента НКЦКИ. Этот параметр доступен для редактирования.
  • Утечка персональных данных – уведомление об утечке персональных данных. Этот параметр доступен для редактирования.

    Параметр отображается, если при редактировании категории инцидента вы выбрали Уведомление о компьютерном инциденте, а затем выбрали один из следующих типов:

    • Заражение ВПО
    • Компрометация учетной записи
    • Несанкционированное разглашение информации
    • Успешная эксплуатация уязвимости
    • Событие не связано с компьютерной атакой

    Доступные поля

    Уведомление об утечке персональных данных – включите этот переключатель в случае утечки персональных данных, после чего раздел Утечка персональных данных станет доступным.

    Оператор персональных данных – наименование оператора персональных данных. Поле отображается, если настроена интеграция с НКЦКИ.

    ИНН – ИНН оператора персональных данных. Поле отображается, если настроена интеграция с НКЦКИ.

    Адрес – адрес оператора персональных данных. Поле отображается, если настроена интеграция с НКЦКИ.

    Адрес электронной почты – адрес электронной почты оператора персональных данных для отправки информации об уведомлении. Поле отображается, если настроена интеграция с НКЦКИ.

    Причины, повлекшие нарушение прав субъектов персональных данных – укажите причины, повлекшие нарушение прав субъектов персональных данных.

    Характеристики персональных данных – укажите характеристики персональных данных.

    Предполагаемый вред, нанесенный правам субъектов персональных данных – укажите, какой вред нанесен правам субъектов персональных данных.

    Принятые меры по устранению последствий инцидента.

    Дополнительные сведения.

    Информация о результатах внутреннего расследования инцидента.

  • Название компании – наименование главной организации, в которой произошел инцидент.
  • TLP – маркер протокола Traffic Light, который определяет уровень конфиденциальности информации, содержащейся в сведениях об инциденте НКЦКИ. Этот параметр доступен для редактирования.

    Возможные значения маркера

    • WHITE – раскрытие не ограничено.
    • GREEN – раскрытие только для сообщества.
    • AMBER – раскрытие только для организаций.
    • RED – раскрытие только для круга лиц.
  • Состояние действия – статус реагирования на инцидент. Этот параметр доступен для редактирования.

    Возможные значения статуса

    Значения статуса по умолчанию заполняются по таблице соответствий приведенной ниже.

    Список статусов инцидентов XDR и соответствующих статусов реагирования

    Статус инцидента XDR

    Статус реагирования инцидента НКЦКИ

    Новый, В процессе, Отложен

    Проводятся мероприятия по реагированию

    Закрыт как: истинноположительный результат

    Меры приняты

    Закрыт как:

    • ложное срабатывание;
    • низкоприоритетный;
    • объединен.

    Инцидент не подтвержден

  • Инцидент XDR – инцидент XDR, на основе которого был создан инцидент НКЦКИ.
  • Затронутая система имеет подключение к интернету – наличие доступа в интернет в системе, где произошел инцидент. Этот параметр доступен для редактирования.

    Если система, где произошел инцидент, имеет доступ в интернет, то становится доступна вкладка, где можно заполнить технические сведения об атакованном ресурсе (раздел Технические сведения об атакованном ресурсе) и вредоносной системе (раздел Технические сведения о вредоносной системе).

  • Требуется помощь – необходимость получения помощи от сотрудников НКЦКИ. Этот параметр доступен для редактирования.
  • Имя затронутой системы – название атакованной системы. Этот параметр доступен для редактирования.
  • Категория затронутой системы – категория значимости объекта критической информационной инфраструктуры (далее КИИ). Этот параметр доступен для редактирования.

    Список категорий значимости

    Объекты КИИ имеют следующие категории значимости:

    • объект КИИ первой категории значимости;
    • объект КИИ второй категории значимости;
    • объект КИИ третьей категории значимости;
    • объект КИИ без категории значимости;
    • информационный ресурс не является объектом КИИ.
  • Функция затронутой системы – сфера деятельности организации, в которой функционирует атакованная система.

    Доступные сферы деятельности компании

    • Атомная энергетика.
    • Банковская сфера и иные сферы финансового рынка.
    • Горнодобывающая промышленность.
    • Государственная/муниципальная власть.
    • Здравоохранение.
    • Металлургическая промышленность.
    • Наука.
    • Оборонная промышленность.
    • Образование.
    • Ракетно-космическая промышленность.
    • Связь.
    • СМИ.
    • Топливно-энергетический комплекс.
    • Транспорт.
    • Химическая промышленность.
    • Иная.
  • Расположение – геокод, соответствующий субъекту Российской Федерации, в котором располагается организации.

    Список геокодов Российской Федерации

    Список геокодов Российской Федерации

    Субъект РФ

    Геокод

    Адыгея

    RU-AD

    Алтайский край

    RU-ALT

    Амурская область

    RU-AMU

    Архангельская область

    RU-ARK

    Астраханская область

    RU-AST

    Башкортостан

    RU-BA

    Белгородская область

    RU-BEL

    Брянская область

    RU-BRY

    Бурятия

    RU-BU

    Владимирская область

    RU-VLA

    Волгоградская область

    RU-VGG

    Вологодская область

    RU-VLG

    Воронежская область

    RU-VOR

    Дагестан

    RU-DA

    Еврейская автономная область

    RU-YEV

    Забайкальский край

    RU-ZAB

    Ивановская область

    RU-IVA

    Ингушетия

    RU-IN

    Иркутская область

    RU-IRK

    Кабардино-Балкария

    RU-KB

    Калининградская область

    RU-KGD

    Калмыкия

    RU-KL

    Калужская область

    RU-KLU

    Камчатский край

    RU-KAM

    Карачаево-Черкессия

    RU-KC

    Карелия

    RU-KR

    Кемеровская область

    RU-KEM

    Кировская область

    RU-KIR

    Костромская область

    RU-KOS

    Краснодарский край

    RU-KDA

    Красноярский край

    RU-KYA

    Курганская область

    RU-KGN

    Курская область

    RU-KRS

    Ленинградская область

    RU-LEN

    Липецкая область

    RU-LIP

    Магаданская область

    RU-MAG

    Марий Эл

    RU-ME

    Мордовия

    RU-MO

    Москва

    RU-MOW

    Московская область

    RU-MOS

    Мурманская область

    RU-MUR

    Ненецкий автономный округ

    RU-NEN

    Нижегородская область

    RU-NIZ

    Новгородская область

    RU-NGR

    Новосибирская область

    RU-NVS

    Омская область

    RU-OMS

    Оренбургская область

    RU-ORE

    Орловская область

    RU-ORL

    Пензенская область

    RU-PNZ

    Пермский край

    RU-PER

    Приморский край

    RU-PRI

    Псковская область

    RU-PSK

    Республика Алтай

    RU-AL

    Республика Коми

    RU-KO

    Республика Саха

    RU-SA

    Ростовская область

    RU-ROS

    Рязанская область

    RU-RYA

    Самарская область

    RU-SAM

    Санкт-Петербург

    RU-SPE

    Саратовская область

    RU-SAR

    Сахалинская область

    RU-SAK

    Свердловская область

    RU-SVE

    Северная Осетия

    RU-SE

    Смоленская область

    RU-SMO

    Ставропольский край

    RU-STA

    Тамбовская область

    RU-TAM

    Татарстан

    RU-TA

    Тверская область

    RU-TVE

    Томская область

    RU-TOM

    Тульская область

    RU-TUL

    Тыва

    RU-TY

    Тюменская область

    RU-TYU

    Удмуртия

    RU-UD

    Ульяновская область

    RU-ULY

    Хабаровский край

    RU-KHA

    Хакасия

    RU-KK

    Ханты-Мансийский автономный округ – Югра

    RU-KHM

    Челябинская область

    RU-CHE

    Чечня

    RU-CE

    Чувашия

    RU-CU

    Чукотский автономный округ

    RU-CHU

    Ямало-Ненецкий автономный округ

    RU-YAN

    Ярославская область

    RU-YAR

  • Средство обнаружения – приложение, с помощью которого был зарегистрирован инцидент. Этот параметр доступен для редактирования.
  • Город – город, в котором расположен объект КИИ, на котором произошел инцидент, атака или обнаружена уязвимость. Этот параметр доступен для редактирования.
  • Влияние на доступность – влияние инцидента на доступность атакованной системы.

    Параметр доступен для таких категорий инцидента НКЦКИ как Уведомление о компьютерном инциденте и Уведомление о компьютерной атаке. Значение статуса определяется параметром Уровень важности родительского инцидента XDR.

  • Влияние на целостность – влияние инцидента на целостность атакованной системы.

    Параметр доступен для таких категорий инцидента НКЦКИ как Уведомление о компьютерном инциденте и Уведомление о компьютерной атаке. Значение статуса определяется параметром Уровень важности родительского инцидента XDR.

  • Влияние на конфиденциальность – влияние инцидента на конфиденциальность атакованной системы.

    Параметр доступен для таких категорий инцидента НКЦКИ как Уведомление о компьютерном инциденте и Уведомление о компьютерной атаке. Значение статуса определяется параметром Уровень важности родительского инцидента XDR.

  • Другое влияние – описание других последствий компьютерного инцидента или компьютерной атаки.

    Параметр доступен для таких категорий инцидента НКЦКИ как Уведомление о компьютерном инциденте и Уведомление о компьютерной атаке. Значение статуса определяется параметром Уровень важности родительского инцидента XDR.

  • Категория приложений – наименование и версия уязвимого приложения. Параметр доступен для категории инцидента НКЦКИ Уведомление о наличии уязвимости.
  • Технические сведения об атакованном ресурсе – технические сведения о системе, где произошел инцидент, атака или обнаружена уязвимость. Этот параметр доступен для редактирования.

    Список параметров атакованного ресурса

    При наличии доступа в интернет в системе, где произошел инцидент, становится доступна вкладка, где можно заполнить технические сведения об атакованном ресурсе. Параметры раздела доступны к заполнению в зависимости от категории и типа инцидента НКЦКИ (см. таблицу ниже).

    Параметры раздела Технические сведения об атакованном ресурсе

    Название и описание параметра

    Категория

    Тип

    IPv4-адрес

    IPv4-адрес атакованного ресурса

     

    Уведомление о компьютерном инциденте

    • Заражение ВПО
    • Замедление работы ресурса в результате DDoS-атаки
    • Компрометация учетной записи
    • Несанкционированное изменение информации
    • Несанкционированное разглашение информации
    • Успешная эксплуатация уязвимости

    Уведомление о компьютерной атаке

    • DDoS-атака
    • Неудачные попытки авторизации
    • Попытки внедрения ВПО
    • Попытки эксплуатации уязвимости
    • Публикация мошеннической информации
    • Сетевое сканирование
    • Социальная инженерия

    Уведомление о наличии уязвимости

    Уязвимый ресурс

    IPv6-адрес

    IPv6-адрес атакованного ресурса

     

    Уведомление о компьютерном инциденте

    • Заражение ВПО
    • Замедление работы ресурса в результате DDoS-атаки
    • Компрометация учетной записи
    • Несанкционированное изменение информации
    • Несанкционированное разглашение информации
    • Успешная эксплуатация уязвимости

    Уведомление о компьютерной атаке

    • DDoS-атака
    • Неудачные попытки авторизации
    • Попытки внедрения ВПО
    • Попытки эксплуатации уязвимости
    • Публикация мошеннической информации
    • Сетевое сканирование
    • Социальная инженерия

    Уведомление о наличии уязвимости

    Уязвимый ресурс

    Имя домена

    Доменное имя контролируемого ресурса

     

    Уведомление о компьютерном инциденте

    • Заражение ВПО
    • Замедление работы ресурса в результате DDoS-атаки
    • Компрометация учетной записи
    • Несанкционированное изменение информации
    • Несанкционированное разглашение информации
    • Успешная эксплуатация уязвимости

    Уведомление о компьютерной атаке

    • DDoS-атака
    • Неудачные попытки авторизации
    • Попытки внедрения ВПО
    • Попытки эксплуатации уязвимости
    • Публикация мошеннической информации

    Уведомление о наличии уязвимости

    Уязвимый ресурс

    URI-адрес

    URI-адрес атакованного ресурса

     

    Уведомление о компьютерном инциденте

    • Заражение ВПО
    • Замедление работы ресурса в результате DDoS-атаки
    • Компрометация учетной записи
    • Несанкционированное изменение информации
    • Несанкционированное разглашение информации
    • Успешная эксплуатация уязвимости

    Уведомление о компьютерной атаке

    • DDoS-атака
    • Неудачные попытки авторизации
    • Попытки внедрения ВПО
    • Попытки эксплуатации уязвимости
    • Публикация мошеннической информации
    • Сетевое сканирование
    • Социальная инженерия

    Уведомление о наличии уязвимости

    Уязвимый ресурс

    Электронная почта

    Адрес электронной почты атакованного ресурса

     

    Уведомление о компьютерном инциденте

    • Заражение ВПО
    • Компрометация учетной записи
    • Несанкционированное разглашение информации
    • Успешная эксплуатация уязвимости

    Уведомление о компьютерной атаке

    • DDoS-атака
    • Неудачные попытки авторизации
    • Попытки внедрения ВПО
    • Попытки эксплуатации уязвимости
    • Социальная инженерия

    Атакуемый сетевой сервис

    Имя и порт/протокол атакованной сетевой службы

     

    Уведомление о компьютерном инциденте

    • Заражение ВПО
    • Замедление работы ресурса в результате DDoS-атаки
    • Компрометация учетной записи
    • Несанкционированное изменение информации
    • Несанкционированное разглашение информации
    • Успешная эксплуатация уязвимости

    Уведомление о компьютерной атаке

    • DDoS-атака
    • Неудачные попытки авторизации
    • Попытки внедрения ВПО
    • Попытки эксплуатации уязвимости
    • Публикация мошеннической информации
    • Сетевое сканирование
    • Социальная инженерия

    Уведомление о наличии уязвимости

    Уязвимый ресурс

    AS-Path до атакованной автономной системы (ASN)

    Уведомление о компьютерном инциденте

    Захват сетевого трафика

  • Технические сведения о вредоносной системе – технические сведения о вредоносной системе, вследствие атаки которой произошел инцидент. Этот параметр доступен для редактирования.

    Список параметров вредоносной системы

    При наличии доступа в интернет в системе, где произошел инцидент, становится доступна вкладка, где можно заполнить технические сведения о вредоносной системе. Параметры раздела доступны к заполнению в зависимости от категории и типа инцидента НКЦКИ (см. таблицу ниже).

    Параметры раздела Технические сведения о вредоносной системе

    Название и описание параметра

    Категория

    Тип

    IPv4-адрес

    IPv4-адрес атакованного ресурса

     

    Уведомление о компьютерном инциденте

    • Заражение ВПО
    • Вовлечение контролируемого ресурса в инфраструктуру ВПО
    • Замедление работы ресурса в результате DDoS-атаки
    • Использование контролируемого ресурса для фишинга
    • Компрометация учетной записи
    • Несанкционированное изменение информации
    • Несанкционированное разглашение информации
    • Публикация на ресурсе запрещенной законодательством РФ информации
    • Рассылка спам-сообщений с контролируемого ресурса
    • Успешная эксплуатация уязвимости

    Уведомление о компьютерной атаке

    • DDoS-атака
    • Неудачные попытки авторизации
    • Попытки внедрения ВПО
    • Попытки эксплуатации уязвимости
    • Публикация мошеннической информации
    • Сетевое сканирование
    • Социальная инженерия

    IPv6-адрес

    IPv6-адрес атакованного ресурса

     

    Уведомление о компьютерном инциденте

    • Заражение ВПО
    • Вовлечение контролируемого ресурса в инфраструктуру ВПО
    • Замедление работы ресурса в результате DDoS-атаки
    • Использование контролируемого ресурса для фишинга
    • Компрометация учетной записи
    • Несанкционированное изменение информации
    • Несанкционированное разглашение информации
    • Публикация на ресурсе запрещенной законодательством РФ информации
    • Рассылка спам-сообщений с контролируемого ресурса
    • Успешная эксплуатация уязвимости

    Уведомление о компьютерной атаке

    • DDoS-атака
    • Неудачные попытки авторизации
    • Попытки внедрения ВПО
    • Попытки эксплуатации уязвимости
    • Публикация мошеннической информации
    • Сетевое сканирование
    • Социальная инженерия

    Имя домена

    Доменное имя контролируемого ресурса

     

    Уведомление о компьютерном инциденте

    • Заражение ВПО
    • Вовлечение контролируемого ресурса в инфраструктуру ВПО
    • Замедление работы ресурса в результате DDoS-атаки
    • Использование контролируемого ресурса для фишинга
    • Компрометация учетной записи
    • Несанкционированное изменение информации
    • Несанкционированное разглашение информации
    • Публикация на ресурсе запрещенной законодательством РФ информации
    • Рассылка спам-сообщений с контролируемого ресурса
    • Успешная эксплуатация уязвимости

    Уведомление о компьютерной атаке

     

    • DDoS-атака
    • Неудачные попытки авторизации
    • Попытки внедрения ВПО
    • Попытки эксплуатации уязвимости
    • Публикация мошеннической информации
    • Сетевое сканирование
    • Социальная инженерия

    URI-адрес

    URI-адрес атакованного ресурса

    Уведомление о компьютерном инциденте

    • Заражение ВПО
    • Вовлечение контролируемого ресурса в инфраструктуру ВПО
    • Использование контролируемого ресурса для фишинга
    • Несанкционированное изменение информации
    • Несанкционированное разглашение информации
    • Публикация на ресурсе запрещенной законодательством РФ информации
    • Рассылка спам-сообщений с контролируемого ресурса
    • Успешная эксплуатация уязвимости

    Уведомление о компьютерной атаке

     

    • Попытки внедрения ВПО
    • Попытки эксплуатации уязвимости
    • Публикация мошеннической информации
    • Социальная инженерия

    Функции – тип активности

    Предлагается к заполнению, если заполнено одно из полей IPv4-адрес, IPv6-адрес, Имя домена или URI-адрес.

    Возможные значения:

    • Центр управления ВПО.
    • Элемент инфраструктуры ВПО.
    • Источник распространения ВПО.
    • Тип не определен.

    Нет.

    Нет.

    Электронная почта

    Адрес электронной почты атакованного ресурса

    Уведомление о компьютерном инциденте

    • Заражение ВПО
    • Вовлечение контролируемого ресурса в инфраструктуру ВПО
    • Несанкционированное разглашение информации
    • Рассылка спам-сообщений с контролируемого ресурса
    • Успешная эксплуатация уязвимости

    Уведомление о компьютерной атаке

    • Попытки внедрения ВПО
    • Попытки эксплуатации уязвимости
    • Социальная инженерия

    Хеш вредоносного ПО

    Хеш-сумма вредоносного модуля

     

    Уведомление о компьютерном инциденте

    • Заражение ВПО
    • Вовлечение контролируемого ресурса в инфраструктуру ВПО

    Уведомление о компьютерной атаке

    • Попытки внедрения ВПО

    Используемые уязвимости

    Описание используемых уязвимостей

    Уведомление о компьютерном инциденте

    • Заражение ВПО
    • Вовлечение контролируемого ресурса в инфраструктуру ВПО
    • Замедление работы ресурса в результате DDoS-атаки
    • Использование контролируемого ресурса для фишинга
    • Компрометация учетной записи
    • Несанкционированное изменение информации
    • Несанкционированное разглашение информации
    • Публикация на ресурсе запрещенной законодательством РФ информации
    • Рассылка спам-сообщений с контролируемого ресурса
    • Успешная эксплуатация уязвимости

    Уведомление о компьютерной атаке

    • DDoS-атака
    • Неудачные попытки авторизации
    • Попытки внедрения ВПО
    • Попытки эксплуатации уязвимости
    • Публикация мошеннической информации
    • Сетевое сканирование
    • Социальная инженерия

    Номер автономной системы (ASN)

    Номер подставной автономной системы (ASN)

    Уведомление о компьютерном инциденте

    Захват сетевого трафика

    Наименование AS

    Наименование подставной автономной системы

    Уведомление о компьютерном инциденте

    Захват сетевого трафика

    Наименование LIR

    Наименование локального интернет-регистратора

    Уведомление о компьютерном инциденте

    Захват сетевого трафика

Интеграция с НКЦКИ

В этом разделе вы можете просматривать следующую информацию об инциденте, который был экспортирован в НКЦКИ:

  • UUID – уникальный идентификатор карточки уведомления в НКЦКИ.
  • Регистрационный номер – регистрационный номер уведомления в НКЦКИ.
  • Зарегистрировано – дата и время регистрации инцидента в НКЦКИ.
  • Время обновления – дата последнего обновления инцидента в НКЦКИ.

История

В этом разделе вы можете просматривать следующую информацию об истории изменений инцидента НКЦКИ:

  • Время – дата и время изменения инцидента.
  • Пользователь – имя пользователя, который изменил инцидент.
  • Подробнее – информация об изменении инцидента.

В начало
[Topic 261377]

Создание инцидента НКЦКИ

Вы можете создать инцидент НКЦКИ только на основе существующего инцидента XDR.

Чтобы создать инцидент НКЦКИ:

  1. В главном меню перейдите в раздел Мониторинг и отчетыИнциденты.
  2. Нажмите на инцидент XDR, на основе которого вы хотите создать инцидент для отправки в НКЦКИ. Инцидент XDR может иметь любой статус.

    Откроется окно со сведениями об инциденте XDR.

  3. В панели управления в верхней части окна нажмите Создать инцидент НКЦКИ.

    Откроется окно создание инцидента НКЦКИ.

  4. Заполните следующие поля:
  5. При необходимости в поле Активы вы можете выбрать или добавить активы, вовлеченные в инцидент НКЦКИ. В таблице активов у таких устройств в столбце Имеет признаки стоит значение "атакующий" или "жертва".

    Данные о выбранных атакованных устройствах и вредоносных системах будут отображаться в окне со сведениями об инциденте НКЦКИ в разделах инцидента Технические сведения об атакованном ресурсе и Технические сведения о вредоносной системе.

Инцидент НКЦКИ создан. После этого в инцидент XDR добавляется ссылка на созданный инцидент НКЦКИ, а в инциденте НКЦКИ – ссылка на инцидент XDR. Вы можете просмотреть сведения об инциденте, отредактировать их и экспортировать инцидент в НКЦКИ.

В начало
[Topic 262347]

Передача инцидентов в НКЦКИ

Чтобы экспортировать инцидент в НКЦКИ:

  1. В главном меню перейдите в раздел Мониторинг и отчетыИнциденты.
  2. Выберите вкладку Инциденты НКЦКИ.
  3. В открывшейся таблице нажмите на идентификатор инцидента НКЦКИ, который вы хотите экспортировать.

    Откроется окно со сведениями об инциденте.

    Если в списке инцидентов НКЦКИ отсутствует инцидент, который необходимо экспортировать, вы можете создать инцидент НКЦКИ.

  4. При необходимости вы можете отредактировать параметры инцидента НКЦКИ перед экспортом. Для этого нажмите на кнопку Изменить в панели в верхней части окна инцидента НКЦКИ, заполните необходимые поля и сохраните изменения.
  5. Нажмите на кнопку Отправить в НКЦКИ в панели в верхней части окна инцидента НКЦКИ.
  6. В открывшемся окне подтвердите отправку инцидента в НКЦКИ.

Запрос в НКЦКИ отправлен. Если экспорт выполнен успешно, в НКЦКИ полученному инциденту присваивается регистрационный номер и статус. Эти сведения отображаются в окне инцидента в разделе Интеграция с НКЦКИ. При этом значение поля Статус меняется на Отправлен в НКЦКИ. С этого момента повторная отправка и редактирование инцидента в НКЦКИ в интерфейсе Open Single Management Platform становятся недоступны. Если вам требуется внести изменения в экспортированный инцидент, это следует делать в личном кабинете НКЦКИ.

В начало
[Topic 254364]

Допустимые категории и типы инцидентов НКЦКИ

В таблице ниже перечислены категории и типы инцидентов, которые можно экспортировать в НКЦКИ.

Категории и типы инцидентов НКЦКИ

Категория инцидента

Тип инцидента

Уведомление о компьютерном инциденте

Замедление работы ресурса в результате DDoS-атаки

Заражение вредоносным программным обеспечением (далее ВПО)

Захват сетевого трафика

Использование контролируемого ресурса для проведения атак

Компрометация учетной записи

Несанкционированное изменение информации

Несанкционированное разглашение информации

Публикация на ресурсе запрещенной законодательством РФ информации

Успешная эксплуатация уязвимости

Событие не связано с компьютерной атакой

Уведомление о компьютерной атаке

DDoS-атака

Неудачные попытки авторизации

Попытки внедрения ВПО

Попытки эксплуатации уязвимости

Публикация мошеннической информации

Сетевое сканирование

Социальная инженерия

Уведомление о наличии уязвимости

Уязвимый ресурс

В начало
[Topic 254363]

Статусы инцидента НКЦКИ

Инцидент, экспортированный в НКЦКИ, может иметь статусы, приведенные в таблице ниже.

Статусы инцидента НКЦКИ

Статус инцидента НКЦКИ

Описание

Черновик

Статус присваивается в следующих случаях:

  • экспорт инцидента не выполнялся;
  • экспорт инцидента был выполнен с ошибкой.

Отправлен в НКЦКИ

Статус присваивается в следующих случаях:

  • экспорт инцидента был выполнен успешно;
  • в НКЦКИ еще не был запрошен статус инцидента.

Создан

При успешном экспорте инциденту присваивается один из перечисленных статусов в зависимости от этапа рассмотрения инцидента специалистами НКЦКИ.

Статус инцидента запрашивается в НКЦКИ каждые 5 минут после успешной отправки инцидента в НКЦКИ.

После получения статуса Принято решение или Отправлен в архив запрос по инциденту в НКЦКИ больше не выполняется.

Создано

Зарегистрирован

Проверка НКЦКИ

Принято решение

Отправлен в архив

В начало
[Topic 262231]